Telset.id, Jakarta – Aplikasi Health Alert Card atau eHAC milik Kementerian Kesehatan RI diduga bocor, menurut laporan terbaru dari peneliti vpnMentor. Kabarnya, ada 1,3 juta data pengguna aplikasi eHAC Kemenkes yang bocor di internet.
Dilansir Telset dari ZDNet pada Selasa (31/8/2021), aplikasi eHAC Kemenkes adalah aplikasi yang wajib diunduh oleh warga negara asing atau WNI yang ingin ke Indonesia untuk tujuan bisnis atau wisata.
Aplikasi ini berguna untuk melacak status kesehatan mereka, apakah berstatus positif Covid-19 atau negatif. Tidak heran jika eHAC menyimpan data hasil tes Covid-19, serta data-data pribadi seperti informasi pribadi, kontak, status kesehatan.
{Baca juga: 38 Juta Data Microsoft Power Apps Bocor, Gegara Izin Default}
Sayangnya aplikasi untuk melacak Covid-19 ini tidak dibarengi oleh sistem keamanan yang kuat. Tim vpnMentor menemukan basis data apliaksi eHAC Kemenkes RI yang terbuka sehingga data-data pengguna mudah diakses.
Menurut peneiti dari vpnMentor, Noam Rotem dan Ran Loncar, aplikasi ini memiliki kelemahan karena tidak memiliki privasi data yang kuat. Tidak heran jika 1,3 juta data penggunanya bocor di internet.
“Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi,” tutur vpnMentor.
Tim vpnMentor telah meneliti database pengguna aplikasi eHAC Kemenkes RI yang bocor di internet. Berdasarkan penelitiannya, data yang bocor kemungkinan data asli dari aplikasi dan tim vpnMentor pun telah menghubungi pemerintah mengenai kasus ini.
“Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” tambahnya.
VpnMentor juga menghubungi Badan Siber dan Sandi Negara (BSSN), pada tanggal 22 Agustus 2021. Selang 2 hari kemudian, BSSN mengambil sikap dengan mematikan server aplikasi eHAC.
{Baca juga: Viral! 2 Juta Data Pengguna BRI Life Dijual di Dark Web}
“Kami mencoba menghubungi BSSN. Kami menghubungi mereka pada 22 Agustus 2021 dan mereka menjawab pada hari yang sama. Lalu 2 hari kemudian, pada 24 Agustus 2021, server dimatikan,” imbuh vpnMentor.
Data Pengguna eHAC Kemenkes Bocor
VpnMentor menyatakan, sebenarnya data yang bocor di eHAC mencapai 1,4 juta data. Akan tetapi, mayoritas atau 1,3 juta data eHAC yang bocor ini adalah data pribadi pengguna aplikasi eHAC Kemenkes RI.
“Database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC,” kata vpnMentor.
Data-data yang bocor bersifat sensitif. Mulai dari paspor, hasil tes Covid-19, Nomor Induk Kependudukan (NIK) di KTP, tanggal lahir, alamat rumah, nomor telepon, kewarganegaraan dan foto.
Selain itu, data yang bocor adalah nama rumah sakit, dokter atau perawat yang melakukan tes Covid-19, serta tanggal dan lokasi tes Covid-19 yang dilakukan pengguna.
{Baca juga: Kominfo Duga Ada Celah Keamanan di Sistem Elektronik BRI Life}
Tidak sampai disitu, vpnMentor menemukan bahwa nama lengkap, NIK KTP, nama akun, alamat email, dan password staff pengembang eHAC juga bocor di internet. Kebocoran ini sangat berbahaya dan dapat digunakan untuk kejahatan siber.
“Seandainya data ditemukan oleh peretas jahat atau kriminal, dan dibiarkan mengakumulasi data pada lebih banyak orang, efeknya bisa menghancurkan pada tingkat individu dan masyarakat,” jelas vpnMentor. (NM/MF)